전체 글
2023 Dice CTF 복기
Dice CTF 최근에 CTF를 거의 참여하지 않았다가, 팀 내에서 CTF 팀으로 활동을 하게 되어서 오랜만에 CTF를 참가했습니다. 오랜만에 CTF를 참가하기도하고 다른 프로젝트를 진행하느라 보안공부를 많이 하지 못했어서 감이 많이 죽었다는게 CTF를 통해서 느껴진 것 같습니다.. 이번에 참가한 Dice CTF는 Web 문제가 상당히 어려웠던 것으로 기억합니다, 계속 도전을 해보았지만 결국 마지막까지 풀지 못했고, 이번에 CTF에서 도전했던 "scorescope" Web 문제의 접근 방식과 풀이 방법을 비교해보면서 복기하는 시간을 가지려고 합니다. scorescope (WEB) 문제 설명 I'm really struggling in this class. Care to give me a hand? 문제 ..
2022년 회고록
회고록 2021년도는 회고록을 작성하지 않았습니다. 그때는 회고록을 왜 작성하는지도 몰랐고, 회고록을 작성하면서 무엇을 느끼고 배워야 하는지 알지 못했기 때문입니다. 하지만 이번 2022년도는 제가 나름대로 한 일이 많았고, 겪은 일도 많은 만큼 회고록을 작성해서 이번 2022년도를 돌아볼 생각입니다. 1월 ~ 3월 (1분기) 1분기에는 제가 본격적으로 해킹 공부를 시작한 시기입니다. 2021년도 12월 부터 해킹 공부를 해야겠다고 다짐하였고, 2022년도 1월에 본격적으로 Dreamhack (https://dreamhack.io) 이라는 티오리에서 운영하는 해킹 공부 플랫폼에서 공부를 시작하였습니다. 해킹 공부는 처음이다 보니 어떤 분야부터 공부해야할지 몰랐는데, 작년부터 꾸준히 웹 분야를 공부해왔기 ..
[WEB] XSS 취약점 소개와 방어기법의 다양한 우회 방법 정리
XSS Injection (Cross Site Scripting Injection) 란? XSS Injection 정의 및 중요성 웹 해킹 취약점중에서 가장 먼저 배우는 취약점이자 가장 중요한 취약점 중 하나입니다. XSS 취약점은 교차 사이트 스크립팅 주입 취약점의 약자입니다. 즉, 사이트에 악의적인 스크립트 문법을 주입해 공격하고 쿠키를 탈취하는 취약점입니다. OWASP TOP10 취약점 순위에 따르면 Injection 관련 취약점이 가장 발생율이 높습니다. Injection 취약점이란 번역하면 주입형 취약점이라고도 불리는데, SQL, html, template 등에 특정 공격 코드를 주입하여 의도하지 않은 행위를 발생시키는 취약점입니다. 그 중 XSS 취약점은 html에 특정 script (java..
About - jun0911.dev
소개현재 화이트 해킹 팀인 TeamH4C에 소속되어 있고, jun0911.dev 또는 jun0911 이라는 닉네임으로 활동중이며, 선린인터넷고등학교에 재학중인 정건우라고 합니다.주분야로 웹해킹과 웹개발을 주 분야로 공부하고 있으며, CTF Player, Researcher 입니다.또한 웹 개발 외주도 외주 중계 사이트(숨고, 크몽 등)에서 계속해서 받고 있습니다.Communication* 해킹 관련 질문은 모두 받고 있으니 언제든지 궁금한점이 있으시면 아래 정보로 연락주시면 빠르게 답변해드리겠습니다. ** 해킹 관련 질문 외에 친분이 없는데 과도한 개인적인 질문 / 사적 질문 등은 최대한 자제해주시고 경고를 드렸음에도 불구하고 계속 관련 질문을 하시는 경우, 차단되실 수 있습니다. *Github : ht..
[WEB] 웹 해킹의 간단한 소개 및 앞으로 정리 계획
웹 해킹의 간단한 소개 및 TMI 웹 해킹의 간단한 설명 해킹은 크게 3가지 분야로 나눌 수 있습니다. 웹 해킹, 시스템 해킹, 리버스 엔지니어링으로 3가지 분야가 존재하는데, 그중 웹 해킹이란 웹에서 주로 발생하는 취약점을 다루고 연구하는 분야입니다. 웹 해킹은 해킹 입문자분들이 가장 접근하기 쉬운 분야중 하나입니다. 하지만 시스템 해킹, 리버스 엔지니어링과 같은 분야보다 쉽다는게 아닌 접근하기가 쉽다는 것에 주의를 하셔야합니다. 웹 해킹도 결국에는 취약점을 발견하고 연구하는 분야임으로 계속해서 취약점이 패치되는 시대에서 웹 해킹도 깊게 들어가면 들어갈수록 취약점을 찾기도 어려워지고 기존 취약점에 훨씬 응용된 취약점도 발생합니다. 그렇기 때문에 웹 해킹을 공부하시기전, 웹에 대한 기반지식을 충분히 쌓으..
제 25회 하계 해킹캠프 참가 후기
25회 하계 해킹 캠프 저는 이번 2022년 8/27 ~ 8/28까지 진행한 해킹 캠프에 참가하였습니다. 작년 24회 동계 해킹캠프에 참가하였을때 온라인으로 일정이 진행되었어서 살짝 아쉬운 느낌도 들고 오프라인으로 진행하면 엄청 재밌겠다라는 생각을 했었는데 다행이도 코로나가 완화되어 이번 하계 해킹캠프는 오프라인으로 진행되었습니다. 이번 해킹캠프는 서울 강서구 유스호스텔에서 진행하였었는데, 해킹캠프 시작 초반에 생각보다 많은 분들이 저를 알아봐주시고 인사해주셔서 한편으로 엄청 놀라기도 했고 굉장히 감사했습니다 :) 또한 보안계에서 엄청 유명한 분들이 오셔서 강연도 해주시고 이벤트도 진행해주시니 엄청 재밌었고 유익한 시간이 되었던 것 같습니다. 개인적으로 강연을 들으면서 거의 모든 강연이 인상깊고, 도움이..
2022 Wacon CTF 본선 복기
2022 Wacon CTF 본선 참가 후기 이번 2022년도 7월 15일 ~ 7월 16일 까지 개최된 Wacon CTF 본선을 참가하게 되었습니다. 본선은 서울 더케이호텔 3층 거문고홀에서 약 36시간동안 진행되었는데, 국내 최대 규모로 열린 CTF를 오프라인으로 참가하니 굉장히 안쪽도 웅장하고 여러가지 이벤트도 많이 진행되었던 것 같습니다. 청소년부 부터 성인부까지 굉장히 해킹씬에서 유명하신분들이 이번 Wacon 대회에서 전부 모이셔서 나름대로 많은 분들을 새롭게 만나뵙고 제가 현재 소속되어 있는 TeamH4C 청소년 팀원분들을 처음 만나게 되어서 굉장히 재밌고 인상깊었습니다. 또한 제가 평소부터 굉장히 존경하고 국내 최고 수준급의 화이트 해커시자 현 티오리(https://theori.io/) 대표님이..